Технология построения защищенных автоматизированных систем
Специальность: 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем»
Форма обучения: очная
Тула 2010 г.
Методические указания к лабораторным работам составлены доц. каф ЭВМ Лебеденко Ю.И. и обсуждены на заседании кафедры ЭВМ факультета кибернетики
протокол № 15 от "_18_"____мая_____ 2010 г.
Зав. кафедрой _______________________ В.С. Карпов
Методические указания к лабораторным работам пересмотрены и утверждены на заседании кафедры ЭВМ факультета кибернетики,
протокол №___ от "___"______________ 201_ г.
Зав. кафедрой _______________________ В.С. Карпов
С О Д Е Р Ж А Н И Е
Лабораторная работа №1. Основные возможности, установка и настройка аппаратной части программно-аппаратного комплекса защиты информации Dallas Lock 5.0 4
Лабораторная работа №2. Инсталляция и администрирование системы Dallas Lock 5.0 9
Лабораторная работа №3. Модули системы защиты программно-аппаратного комплекса Dallas Lock 5.0. Организация картотеки 15
Лабораторная работа №4. Инсталляция и администрирование системы защиты информации Dallas Lock 7.0 20
Лабораторная работа №5. Изучение дополнительных функций системы защиты информации Dallas Lock 7.0. Работа пользователей и администратора локальной сети с использованием системы 33
Лабораторная работа №6. Резервное копирование информации. Создание и восстановление образа диска с помощью программы GHOST 43
Лабораторная работа № 7. Программно-аппаратные средства защиты информации, выпускаемые фирмой ANCUD 50
Библиографический список 60
Лабораторная работа №1
Основные возможности, уСТАНОВКА И НАСТРОЙКА аппаратной части программно-аппаратного комплекса (ПАК) защиты информации Dallas Lock 5.0
1. Цель и задачи работы
Ознакомится с назначением, основными характеристиками программно-аппаратного комплекса (ПАК) Dallas Lock (DL) 5.0, получить навыки по установке аппаратных средств комплекса.
2. Теоретические положения
Dallas Lock 5.0 [3] представляет собой программно-аппаратную систему защиты персонального компьютера. Система предназначена для исключения несанкционированного доступа к ресурсам компьютера. Для идентификации и аутентификации пользователей используются электронные карты Touch Memory или Proximity.
Dallas Lock 5.0 - это система, обеспечивающая защиту информации на компьютере в среде Windows NT 4.0
Входящие в состав программного обеспечения оболочка администратора ADMSHELL и программа SETUP предназначены для настройки, изменения режимов работы системы и просмотра электронного журнала с целью контроля событий, связанных с несанкционированным доступом к компьютеру.
Модули статического шифрования и модуль шифрования данных на дискетах предназначены соответственно для защиты данных пользователя, хранящихся на логических дисках "винчестера" и дискетах. Генерация шифровальных ключей осуществляется на основании личных паролей и электронных карт.
Технические характеристики комплекса
Система запрещает посторонним лицам доступ к ресурсам компьютера.
В качестве средства опознавания пользователей служат электронные идентификаторы Touch Memory фирмы "Dallas Semiconductor Inc." (США) или карты Proximity фирмы HID corporation. Данные приборы имеют малые размеры, очень удобны в применении и надежны в работе.
Благодаря гарантированной неповторяемости ключа, скрытого в идентификаторе, реализован весьма высокий уровень защиты. Число уникальных 48-битовых ключей составляет более 280 триллионов.
Запрос идентификатора при входе на ПЭВМ инициируется из ПЗУ на плате защиты до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора (электронной карты). Поскольку идентификатор запрашивается до обращения к дисководам, возможность загрузки с системной дискеты полностью исключается.
Предусмотрена возможность блокировки клавиатуры во время загрузки компьютера. При этом загрузка предыдущей версии DOS становится невозможной.
Модуль входа в Windows NT позволяет заменить стандартную процедуру идентификации при входе в систему (ввод имени и пароля) идентификацией по электронной карте.
Перед инсталляцией системы на жесткий диск возможна гибкая настройка аппаратной части путем предварительного выбора адресного пространства ПЗУ платы защиты в свободной области адресов пользовательских ПЗУ, а также адресов портов для работы с электронной картой.
В системе поддерживается работа до 32 зарегистрированных пользователей на каждом защищенном компьютере. Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями. Данные о пользователях хранятся в энергонезависимой памяти на плате защиты.
Обеспечивается ограничение доступа ПОЛЬЗОВАТЕЛЕЙ к компьютеру по времени. Время начала и окончания работы каждого ПОЛЬЗОВАТЕЛЯ на компьютере устанавливается администратором в пределах суток. Интервал времени, в течение которого ПОЛЬЗОВАТЕЛЬ может входить на компьютер со своими правами, может быть установлен от 1 минуты до 23 час. 59 минут (т.е. круглосуточно).
Обеспечено гибкое разграничение доступа ПОЛЬЗОВАТЕЛЯ к файлам и папкам системы. Поддерживаются мандатный и дискреционный способы разграничения доступа. Существует режим защиты уровня секретности данных.
Гарантированное удаление информации обеспечивается при использовании специального инструмента Secure File Deletion. Его функции подобны стандартному инструменту Windows ("Корзина"), но информация, удаляемая с дисков компьютера при помощи Secure File Deletion, затирается нулевым кодом.
При выполнении процедуры входа на компьютер система анализирует электронную карту и личный пароль пользователя. Если произошел отказ в доступе, то данное событие заносится в специальный электронный журнал, при этом фиксируется номер предъявленной карты, имя пользователя, дата и время попытки входа. Ведутся также журналы событий, печати и успешных входов. Электронные журналы доступны только АДМИНИСТРАТОРУ.
Пользователи могут самостоятельно менять личные пароли для входа на компьютер.
Все действия администратора по изменению прав пользователей заносятся в специальный журнал.
Существует возможность временной блокировки компьютера пользователем (например, если ему необходимо ненадолго отлучиться). Блокировка выполняется вручную с помощью стандартной панели безопасности Windows NT (панель доступна по комбинации клавиш [Ctrl-Alt-Del]). Разблокировка и дальнейшая работа с компьютером возможна только после предъявления электронной карты пользователя, который загружал компьютер последним.
Для усиления защиты конфиденциальной информации, хранящейся на "винчестере" и дискетах пользователей, предусмотрены модули шифрования, работающие в статическом или "прозрачном" режимах. Данные могут шифроваться с использованием нескольких алгоритмов - по выбору пользователя. Шифровальный ключ может формироваться на основе личного пароля или кода личного идентификатора. В "прозрачном" режиме информация шифруется при записи и расшифровывается при чтении со сменного носителя. При этом процесс шифрования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
- контроль изменения файлов пользователя;
- контроль изменения энергонезависимой памяти платы защиты;
- обнаружение создания новых файлов.
Дополнительные сервисные функции предоставляет модуль «Картотека», позволяющий вести учет выданных пользователям электронных карт, а также хранить некоторые данные о самих пользователях.
Системные требования
Система Dallas Lock 5.0 может работать на любом IBM-совместимом компьютере, работающем под управлением операционной системы Windows NT 4.0 Workstation.
Для установки аппаратной части системы защиты (платы из серии КТ-33Х) требуется наличие одного свободного слота PCI на материнской плате компьютера.
ПЗУ платы защиты занимает 8 Кб в области памяти пользовательских ПЗУ.
Для размещения файлов и работы Dallas Lock 5.0 требуется не менее 5 Мбайт пространства в любом разделе жесткого диска.
Модули системы защиты занимают до 6 Кб основной оперативной памяти.
Комплект поставки
Программно-аппаратный комплекс Dallas Lock 5.0 поставляется в следующем комплекте:
- 2 дискеты с программным обеспечением;
- мастер-карта;
- документация по инсталляции и работе с системой: "Руководство администратора";
- набор плат и считывателей (по количеству защищаемых компьютеров).
3. Оборудование
Персональный компьютер, работающий под управлением операционной системы Windows NT 4.0 Workstation, плата защиты КТ-33Х, комплект установочных дискет DL 5.0, считыватель электронных карт, мастер-карта.
4. Задание на работу
4.1 Ознакомиться с назначением, основными характеристиками и системными требованиями для установки ПАК DL 5.0.
4.2 Под руководством преподавателя произвести установку и настройку аппаратной части ПАК.
5. Порядок выполнения работы
5.1 Ознакомиться с теоретическими сведениями или руководством администратора ПАК DL 5.0.
5.2 Убедиться в соответствии ПЭВМ системным требованиям, предъявляемым для установки ПАК (наличие слота PCI, соответствующих адресов в пространстве ввода/вывода, установленной ОС Windows NT 4.0.
5.3 Выполнить установку перемычек на плате защиты для выбора нужного диапазона адресов по заданию преподавателя и установить плату защиты в ПЭВМ.
5.4 Подключить считыватель карт Touch Memory.
5.5 Воспользовавшись диском №1 и мастер-картой из установочного комплекта выполнить инсталляцию программ, обеспечивающих работу платы защиты. Убедиться в отсутствии ошибок.
6. Оформление отчета
Отчет оформляется в тетради или листах формата А4 и должен содержать:
- название курса, название и номер лабораторной работы;
- цель работы и задание на исследование;
- характеристики ПАК Dallas Lock 5.0;
- данные по настройке адресов на плате КТ;
- код мастер-карты для установки ПАК;
- порядок инсталляции аппаратной части комплекса.
7. Контрольные вопросы
7.1 Каково назначение ПАК Dallas Lock 5.0?
7.2 Какие аппаратные компоненты входят в ПАК Dallas Lock 5.0?
7.3 Какую информацию содержит карта Touch Memory?
7.4 Какие требования предъявляются к аппаратной части компьютера для установки ПАК?
7.5 Расскажите о функциях, выполняемых платой защиты серии КТ.
7.6 Каков порядок установки аппаратных компонентов ПАК Dallas Lock 5.0?
Лабораторная работа № 2
ИНСТАЛЛЯЦИЯ И Администрирование системы
Dallas Lock 5.0
1. Цель и задачи работы
Ознакомиться с порядком установки пакета программ комплекса и возможностями администрирования безопасности. Получить практические навыки управления правами пользователей и доступом к информации. Изучить порядок снятия защиты.
2. Теоретические сведения
Порядок инсталляции программного обеспечения
В процессе установки программного обеспечения ПАК DL 5.0 необходимо только выполнять указания программы установки, делать выбор пунктов меню и отвечать на запросы системы. На каждом шаге инсталляции предоставляется возможность сделать шаг назад и изменить установленные параметры. По окончании процесса инсталляции создается файл install.log, в котором перечислены все ошибки, возникшие в ходе установки системы защиты.
Для установки программ ПАК необходима мастер-карта и комплект из двух установочных дискет. Вначале с дискеты №1 запускают программу install.exe, что рекомендуется выполнить с помощью Мастера Установок. Через некоторое время программа потребует предъявления мастер-карты. Эта функция является защитой от незаконного копирования программы. Администратором ПАК может быть только тот пользователь, который зарегистрирован в системе Windows NT как администратор.
При условии выполнения всех необходимых подготовительных действий программа инсталляции производит двукратное тестирование памяти платы защиты и выводит информацию об этом тестировании. Затем необходимо указать модули системы защиты , которые должны быть установлены и каталог для установки. Для выполнения лабораторных работ потребуются все модули, кроме учета печатаемых документов. К ним относятся: «Индивидуальный логический диск», «Криптографическая защита файлов», «Контроль целостности объектов», «Криптографическая защита floppy- дисков», «Модуль защиты фалов», «Модуль входа в NT». В конце инсталляции требуется ввести и подтвердить пароль администратора и имя домена, которому принадлежит компьютер. Последнее необходимо для работы ПАК в составе сети. Программа инсталляции создает новую группу программ «Dallas Lock». Чтобы приступить к работе на защищенном компьютере потребуется еще раз предъявить мастер-карту при перезагрузке с жесткого диска.
Администрирование системы защиты
При работе на защищенном компьютере на администратора возлагаются следующие обязанности:
- регистрация пользователя с присвоением каждому времени работы;
- периодическая корректировка списка пользователей и их статуса;
- замена идентификатора в случае его утраты и перерегистрации;
- контроль журналов;
- оформление инструкций для пользователей;
- выдача идентификаторов и инструкций пользователям под роспись;
- оказание помощи пользователям;
- установка нового программного обеспечения.
В случае утери пользователем своей электронной карты администратор обязан немедленно удалить этого пользователя из системы, а затем зарегистрировать его с новой картой. Основные функции администрирования ПАК производятся с помощью программы-оболочки Admshell, доступной при наличии мастер-карты и пароля администратора. Оболочка предоставляет администратору следующие возможности:
- регистрировать электронные карты, устанавливать время работы и полномочия пользователей;
- удалять пользователя из списка;
- просматривать список пользователей, назначать им определенные права доступа к файлам и папкам, а также получать полную информацию по полномочиям зарегистрированных пользователей;
- просматривать, копировать и очищать электронные журналы системы защиты.
Оболочка запускается из меню «Пуск» в группе программ «Dallas Lock» и имеет простой интерфейс. Для регистрации пользователя в системе защиты он должен быть зарегистрирован в Windows NT. Пароли пользователя в операционной системе (ОС) и в системе защиты должны совпадать. Для реализации мандатного доступа пользователи разбиваются на три группы с уровнями доступа (классификационной меткой) «Совершенно секретно», «Секретно» и «Открытые данные». При входе в систему пользователь может выбрать текущий уровень доступа не выше этой метки. Оболочка администратора позволяет устанавливать на определенные файлы и папки классификационную метку. Для предотвращения понижения уровня секретности данных предусмотрен режим защиты секретных данных, в котором пользователь имеет доступ по записи к только к объектам одного уровня секретности. В результате этого не все программы могут использоваться пользователем, который вошел в систему на одном из секретных уровней.
Для реализации дискреционного доступа в меню оболочки «Доступ пользователя» предусмотрена возможность установки для каждого из пользователей конкретных прав доступа к объектам в виде списка запрещенных или разрешенных объектов. При этом для каждого объекта может быть разрешен или запрещен доступ следующих видов: «Открытие», «Чтение», «Запись», «Переименование», «Удаление», «Исполнение».
Все пользователи должны иметь полные права доступа к системным каталогам Windows NT. Отсутствие доступа к ним приведет к невозможности использования системы.
Журналы
В системе защиты DL 5.0 ведутся пять журналов, которые являются ее важными компонентами. Все журналы обладают свойством цикличности, т.е. при переполнении новые записи постепенно вытесняют старые. Емкость всех журналов - 50 записей.
В журнале успешных входов ведется учет времени входа и выхода пользователей в системе, а также фактов работы сверх установленного времени. Журнал хранится в виде файла на диске.
В журнале попыток входа регистрируются неудачные попытки входа в систему ( с указанием причин отказа в доступе), а также системные ошибки. Журнал ведётся аппаратной частью системы, объём энергонезависимой памяти системы защиты позволяет фиксировать до 50 событий. Причинами отказа могут быть несовпадение номера карты, пароля, времени доступа, а также отсутствие регистрации пользователя.
В журнале событий фиксируются операции, связанные с работой пользователя с файловой системой. Для каждого пользователя кроме администратора ведется учет событий, перечень которых определен при регистрации пользователя в системе. В журнале событий фиксируется следующая информация: дата, время, имя пользователя, номер электронного идентификатора, процесс, событие, успешная операция, отказ в доступе, ошибка в Windows NT, объект. По умолчанию регистрируются только нарушения режима доступа пользователей к файлам.
В журнале администратора фиксируются события, связанные с изменением прав пользователей. Этот журнал является единственным средством регистрации действий администратора.
В журнале печати отслеживается прохождение заданий для печати на локальном принтере. Сетевые принтеры не отслеживаются.
Заполнение всех журналов производится циклично. При переполнении производится выдача сообщения. Для работы с журналами служит специальное окно просмотра, вид которого для каждого из журналов отличается только количеством и названием столбцов. Оно позволяет сортировать записи, фильтровать их по содержанию, а также удалять их. Предусмотрены также возможности создания отчета и экспорта данных в файл формата dBASEIII.
Снятие защиты
Деинсталляция производится с помощью соответствующего пункта меню утилиты SETUP из оболочки Admshell. При снятии защиты производится очистка памяти платы с удалением всех пользователей из нее, удаление файлов системы защиты с жесткого диска, а также восстановление измененных системных файлов компьютера. После снятия защиты предлагается перезагрузить компьютер: доступ к его ресурсам будет разрешен любому пользователю.
3. Оборудование
ПЭВМ с установленной платой защиты КТ-33Х, комплект установочных дискет DL 5.0, считыватель электронных карт, мастер-карта, карты пользователей.
4. Задание на работу
4.1 Произвести в соответствии с руководством администратора установку пакета программ ПАК защиты информации.
4.2 Создать на жестком диске объекты с разным уровнем доступа
4.3 Зарегистрировать в системе двух пользователей с разными полномочиями и убедиться в различии их прав доступа к объектам.
4.4 Зафиксировать структуру рабочего каталога ПАК и изучить порядок работы с журналами комплекса.
4.5 Произвести снятие защиты ПЭВМ
5. Порядок выполнения работы:
5.1 Подключить считыватель к плате защиты
5.2 Произвести установку программ комплекса защиты информации в соответствии с руководством администратора и сообщениями на экране. Для этого с дискеты 1 установочного комплекта следует запустить программу A:\install.exe, затем, воспользовавшись мастер-картой администратора, следует подтвердить полномочия по установке. Пользователь WinNT должен обладать правами администратора, подтверждаемыми вводом пароля при установке. Произвести установку всех модулей комплекса, переписав их назначение. По запросу системы установить дискету 2 в дисковод. По окончанию процесса установки перезагрузить компьютер, воспользовавшись для новой загрузки картой администратора.
5.3 Изучить порядок временной блокировки компьютера с помощью стандартной процедуры безопасности WinNT (по нажатию Ctrl+Alt+Del) и выхода из этого режима
5.4 Создать объекты на жестком диске и выполнить их гарантированное удаление. Убедиться в удалении объектов.
5.5 Воспользовавшись программой администратора безопасности ADMSHELL, произвести регистрацию пользователей, содержащихся в системе Win NT и добавить новых пользователей с разными уровнями доступа, воспользовавшись картами пользователей. Освоить порядок смены пароля пользователя при загрузке компьютера. При возникновении вопросов пользоваться помощью программы.
5.6 Создать объекты разного уровня доступа и убедиться в разграничении полномочий пользователей. Список доступа может быть сформирован как список запрещенных, либо как список разрешенных объектов.
Внимание! Запрет доступа к системным файлам и папкам делает невозможным использование компьютера. Права на переименование объекта дают и возможность любого доступа к нему, т.к., переименовав файл или каталог, пользователь исключает его из списка запрещенных.
5.7 Изучить содержимое регистрационных журналов и зафиксировать его в отчете.
5.8 Произвести удаление защиты с помощью программы SETUP (доступна только администратору) в соответствии с инструкцией.
6. Оформление отчета
Отчет оформляется в тетради или листах формата А4 и должен содержать:
- название курса, название и номер лабораторной работы;
- цель работы и задание на исследование;
- информацию об установке и администрированию ПАК (№№ мастер-карты, карт пользователей их имена и полномочия), перечень объектов с ограниченным доступом и видами доступа, содержимое учетных журналов после работы ПАК.
8. Контрольные вопросы
8.1 Каков порядок установки программных компонентов ПАК Dallas Lock 5.0?
8.2 Какие средства предоставляет ПАК Dallas Lock 5.0 для гарантированного удаления объектов?
8.3 Какие программные модули входят в ПАК Dallas Lock 5.0?
8.4 Какие средства разграничения доступа (мандатного и дискреционного) предоставляет ПАК Dallas Lock 5.0?
8.5 Какие средства предоставляются ПАК Dallas Lock 5.0 для идентификации и аутентификации пользователей?
8.6 Какие действия необходимо совершить для регистрации нового пользователя защищенного компьютера и присвоения ему определенных полномочий?
8.7 Перечислите виды и содержание учетных журналов ПАК Dallas Lock 5.0
8.8 Как можно проконтролировать работу администратора системы?
8.9 Расскажите о порядке снятия защиты с компьютера.
Лабораторная работа № 3
Модули системы защиты ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА DALLAS LOCK 5.0. Организация картотеки
1. Цель и задачи работы
Ознакомиться с порядком использования модулей системы защиты программно-аппаратного комплекса (ПАК) Dallas Lock 5.0. Получить практические навыки шифрования файлов и дисков. Уяснить порядок использования картотеки.
2. Теоретические сведения
Картотека
Картотека ПАК предназначена для учета и контроля использования карт Touch Memory. Функционально модуль «Картотека» представляет собой обычную базу данных с пятью полями, первое из которых задает номер карты, а прочие 4 определяются администратором. Они могут использоваться для хранения имен, персональных данных владельца карты. Предусмотрена возможность создания отчётов по результатам работы с картотекой. Отчёт – обычный файл, содержащий записи журнала в текстовом или DBF формате.
Контроль целостности
Запуск программы контроля целостности возможен только для того пользователя или администратора, который загрузил компьютер. При подтверждении прав доступа становится видимым одно программное окно контроля, оформленное в виде блокнота со вкладками: «Контроль», «Настройка» и «Журнал контроля». Для проверки целостности можно создать текстовый файл и добавить его в окно контроля. Кроме того, в дополнительные возможности модуля контроля целостности входят следующие функции:
-контроль памяти платы системы защиты (программа контроля будет сигнализировать при изменении памяти платы при изменении любой из её составляющих, например, при регистрации или удалении пользователя).
-поиск новых файлов;
-подсчёт быстрой контрольной суммы (при ускоренном подсчёте контрольной суммы анализируются следующие изменения: изменение длины, начала и конца, первых 512 байт каждых 64Кб). Для событий контроля целостности файлов ведется специальный журнал.
Шифрование информации
Программа статического шифрования файлов, предназначенная для защиты от НСД с помощью статического шифрования с использованием одного из 4 криптографических алгоритмов: DES, IDEA (европейский стандарт, с улучшенными качествами; используется формирование 128-разрядного ключа), FEAL (64-разрядный ключ), XOR (сложение с паролем по модулю 2).
Шифровальный ключ формируется на основе клавиатурного пароля и/или уникального кода электронного идентификатора. В системе имеется диспетчер зашифрованных файлов для более удобной работы с ними. Настройка программы позволяет указать папки для зашифрованных и расшифрованных файлов, используемые по умолчанию.
Программа шифрования информации на дискете предназначена для защиты от несанкционированного доступа, который может быть предпринят к информации, используемой рамках одного сеанса пользователя. В имеющейся версии DL 5.0 защита функционирует только в рамках одного защищенного компьютера.
Модуль индивидуальных логических дисков пользователей запускается через меню: “File-Disk Manager” Он обеспечивает создание на любом логическом диске винчестера дополнительных индивидуальных разделов, защищённых от несанкционированного доступа. Например, можно создать в разделе С: диск Z, защищённый для чтения, информация на нём будет недоступной для других пользователей, в том случае, если он находится в закрытом состоянии.
Допускается создание до 20 файл-дисков на одном компьютере. Однако в одном сеансе пользователя не допускается создавать два файл-диска с одинаковыми именами: это может привести к потере данных. Минимальный размер индивидуального файл-диска в FAT составляет 100 Кб, а в NTFS – 2,5 Мб. Максимальный размер диска не должен превышать 4 Гб. При создании индивидуального логического диска на выбранном разделе винчестера появляется файл с расширением .dsk, размер которого равен размеру диска (он не должен превышать размера логического раздела).
При работе с файл-диском данные всегда хранятся на нем в зашифрованном в соответствии с одним из четырех упомянутых криптографических методов виде. Ключ формируется на основе клавиатурного пароля и/или уникального кода электронного идентификатора Процесс чтения и записи данных производится в незаметном для пользователя прозрачном режиме, т.е. пользователь может работать с ним как с любым другим диском.
3. Оборудование
ПЭВМ с установленным ПАК DL 5.0 с платой защиты КТ-33Х, комплект установочных дискет DL 5.0, считыватель электронных карт, мастер-карта, карты пользователей, дискета для шифрования.
4. Задание на работу
4.1 Изучить порядок работы с картотекой, организовать картотеку пользователей ПАК и зафиксировать ее данные.
4.2 Ознакомиться с программами контроля целостности объектов, статического шифрования, шифрования в прозрачном режиме, создания индивидуального диска пользователя и проверить их работоспособность
5. Порядок выполнения работы
5.1 В случае, если программы ПАК ранее были деинсталлированы, подключить считыватель к плате защиты и произвести установку программ комплекса защиты информации (см. лаб.раб.№2)
5.2 Изучить порядок работы с картотекой пользователей. Зарегистрировать в ней несколько пользователей с разными полномочиями. Данные картотеки зафиксировать в отчете.
5.3 Запустить программу контроля целостности объектов File System Integrity Manager и, пользуясь руководством, создать список контроля. Изучить дополнительные функции программы. Выполнить изменения в контролируемых объектах и зафиксировать данные журнала контроля (создать отчет).
5.4 Запустить программу статического шифрования файлов File Encrypt Manager, ознакомиться с ее возможностями. Выполнить шифрование нескольких файлов на жестком диске, используя разные способы шифрования и формирования ключей, предоставляемые программой.
Внимание! Перемещать зашифрованные файлы не рекомендуется, т.к. отсутствие информации о пути к файлу делает невозможным расшифрование.
При возникновении вопросов пользоваться помощью программы. Убедиться в зашифрованности файлов. Выполнить расшифрование.
5.5 Ознакомиться с порядком работы с индивидуальными логическими дисками пользователя. Запустить программу File-disk Manager и создать индивидуальный файл диск (с учетом ограничений, определяемых в руководстве). Изучите свойства индивидуального диска, используйте его для записи и чтения информации. Удалить диск.
Внимание! Буква, определяемая логическому диску не должна повторяться в сессии одного пользователя. Иначе данные будут утрачены.
5.6 Изучить порядок использования модуля защиты файлов, вызвать его, используя контекстное меню. Установить параметры защиты файлов, определить список защищаемых файлов и убедиться в функционировании защиты. Снять защиту с файлов.
5.7 Изучить возможности программы шифрования данных на дискетах. Инициировать шифрование дискеты из панели задач. Создать зашифрованную дискету. Убедиться в работоспособности режима "прозрачного" шифрования данных. Зафиксировать данные о зашифрованной дискете.
5.8 Изучить содержимое регистрационных журналов и зафиксировать его в отчете.
5.9 Произвести удаление защиты с помощью программы SETUP в соответствии с инструкцией.
6. Оформление отчета
Отчет оформляется в тетради или листах формата А4 и должен содержать:
- название курса, название и номер лабораторной работы;
- цель работы и задание на исследование;
- данные картотеки пользователей ПАК;
- перечень объектов, для которых произведен контроль целостности с результатами анализа, данные о файлах, подвергшихся статическому шифрованию;
- фрагменты открытых и зашифрованных файлов, данные о созданном логическом файл-диске;
- перечень защищенных файлов и параметры защиты, данные о зашифрованной дискете,
- содержимое учетных журналов после работы ПАК.
7. Контрольные вопросы
7.1 Каково назначение картотеки пользователей, существующей в рамках ПАК Dallas Lock 5.0?
7.2 Какие алгоритмы контроля целостности использует ПАК Dallas Lock 5.0 и каков порядок их применения?
7.3 Какие программные модули входят в ПАК Dallas Lock 5.0?
7.4 Что такое статическое шифрование объектов в ПАК Dallas Lock 5.0? Какие алгоритмы шифрования используются для этого?
7.5 Как формируюьтся ключи для шифрования данных в ПАК Dallas Lock 5.0?
7.6 Какие средства предоставляются ПАК Dallas Lock 5.0 для «прозрачного» шифрования данных на дискетах?
7.7 Что такое индивидуальный диск пользователя защищенного компьютера? Расскажите о порядке его использования.
7.8 Перечислите, какие изменения были зафиксированы в регистрационных журналах после завершения работы по заданию.
Лабораторная работа №4
ИНСТАЛЛЯЦИЯ И АДМИНИСТРИРОВАНИЕ СИСТЕМЫ
защиты информации Dallas Lock 7.0
2. Цель и задачи работы
Ознакомиться с назначением, основными возможностями и порядком установки пакета программ системы защиты информации (CЗИ) Dallas Lock (DL) 7.0, а также возможностями администрирования безопасности. Получить практические навыки инсталляции комплекса защиты информации, управления правами пользователей и доступом к информации. Уяснить порядок снятия защиты.
2. Теоретические положения